陳振偉 李瑞霞

摘要：SSH協(xié)議為提供安全可靠的遠程登錄訪問網(wǎng)絡(luò)提供的可靠的方式，目前常用于遠程訪問等場合。HTTPS是安全的HTTP，主要用于服務(wù)器和瀏覽器之間訪問Web。因此，HTTP/HTTPS信息流是目前網(wǎng)絡(luò)上最常見的信息流。SSH信息流由于常用于遠程網(wǎng)絡(luò)訪問而常常受到攻擊者的分析和利用;HTTPS信息流作為網(wǎng)絡(luò)上較安全的主流WEB信息流而常常被攻擊者忽略?；诖吮尘?，本文設(shè)計一種方法將SSH信息流偽裝成HTTPS信息流，通過對SSH信息封裝加密，偽裝成HTTPS信息在網(wǎng)絡(luò)上傳輸，使其安全性和隱蔽性得到了大大的提升。

關(guān)鍵詞：SSH信息流;偽裝;加密

中圖分類號：TP309 ? ? ?文獻標(biāo)識碼：A

文章編號：1009-3044（2020）34-0050-02

1引言

網(wǎng)絡(luò)的遠程管理和維護，目前最廣泛使用的方式是通過Telnet等遠程連接訪問的方式進行，但這些方式存在著許多安全隱患，由于數(shù)據(jù)采用明文或簡單的加密方式，極易被別有用心者截獲，容易受到外來攻擊，這些數(shù)據(jù)一旦被第三方獲取，將會造成信息的泄露，特別是訪問的賬戶和口令等。在這種情況下，SSH 協(xié)議被提出，它可以對傳輸通道中的數(shù)據(jù)加密處理，可以有效地防止信息的泄露，避免這類攻擊，因此SSH 協(xié)議具有比較好的可靠性和安全性，是目前較可靠，專為遠程登錄會話的安全協(xié)議。SSH協(xié)議提供安全性的協(xié)議密鑰建立與服務(wù)器認證和用戶認證，使得SSH在不可靠的網(wǎng)絡(luò)上對遠程登錄等網(wǎng)絡(luò)服務(wù)領(lǐng)域提供了安全可靠的保障，因此，當(dāng)前SSH遠程訪問方式成為主流遠程訪問方式。

2技術(shù)基礎(chǔ)

HTTPS是以安全為目標(biāo)的 HTTP 通道，即安全的HTTP協(xié)議。它在HTTP的基礎(chǔ)上通過加入加密和身份認證兩種機制，從而保證傳輸過程的安全性。加入方式為HTTPS 在HTTP 的基礎(chǔ)下加入SSL 層，提供身份驗證與加密通信，因此HTTPS 協(xié)議是由 SSL+HTTP 協(xié)議構(gòu)建的可進行加密傳輸、身份認證的網(wǎng)絡(luò)協(xié)議，要比 HTTP 協(xié)議安全，可防止數(shù)據(jù)在傳輸過程中不被竊取、改變，確保數(shù)據(jù)的完整性，確保信息在正確的客戶機和服務(wù)器傳遞。

443端口為正常的Web訪問端口，主要應(yīng)用于HTTPS協(xié)議提供的服務(wù)，HTTPS協(xié)議提供了加密服務(wù)并通過安全端口傳輸。它被廣泛應(yīng)用于Web上安全敏感的通信等方面，如各類電子商務(wù)網(wǎng)站、政務(wù)網(wǎng)、銀行網(wǎng)絡(luò)等，HTTPS協(xié)議是現(xiàn)行架構(gòu)下WEB訪問最安全的解決方案之一，目前大多WEB訪問也采用HTTPS方式訪問。即別有用心者通過數(shù)據(jù)捕獲工具捕獲數(shù)據(jù)，其獲取到的是加密數(shù)據(jù)，在不知道解密密鑰的情況下很難對數(shù)據(jù)進行解密，從而保證了數(shù)據(jù)通信的安全性。

22端口是正常ssh協(xié)議訪問端口，SSH協(xié)議是一種安全協(xié)議，具有通用性和可擴展性，作為一種通用且可擴展的安全協(xié)議，加密網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)，一定程度上降低了竊聽等部分網(wǎng)絡(luò)攻擊的成功概率與危害。然而，惡意用戶的攻擊手段越來越復(fù)雜，惡意用戶可以利用SSH對遠程的服務(wù)器進行攻擊[1]。SSH作為當(dāng)前主流遠程訪問方式，信息流變得更易被不法分子進行捕獲分析和利用，從而給所保護的網(wǎng)絡(luò)造成安全隱患。

Stunnel是一個跨平臺的開源項目，提供了兩個主要功能。

（1）提供基于OpenSSL的安全加密連接;特別是本身無法進行TLS或SSL通信的客戶端及服務(wù)器。

（2）Stunnel提供SSL連接解除了防火墻和代理的限制，直接和遠端服務(wù)器進行網(wǎng)絡(luò)服務(wù)通信。因為對于絕大多數(shù)LAN或者WLAN正常情況下都會開放443端口用于HTTPS連接，正是利用這一點，Stunnel和遠程端口443創(chuàng)建一個SSL連接，防火墻和代理會誤以為該連接為正常的HTTPS連接而允許通過。

3 SSH偽裝方法及實現(xiàn)

3.1 實現(xiàn)原理

針對SSH和HTTPS協(xié)議的特點，結(jié)合Stunnel的特點，本文設(shè)計了利用Stunnel對SSH信息流進行偽裝加密的方法?；緦崿F(xiàn)原理如圖1所示。

由于SSH數(shù)據(jù)流常使用端口22傳遞，而HTTPS數(shù)據(jù)流常使用端口443傳遞，因此本文利用Stunnel平臺對SSH協(xié)議信息進行二次封裝，在SSH協(xié)議的外層再封裝一層SSL/TLS層，使其偽裝成正常的Web訪問HTTPS信息。偽裝后的SSH數(shù)據(jù)包通過Stunnel隧道從客戶端一端的443端口發(fā)送至發(fā)送至服務(wù)端一端的443監(jiān)聽端口。在這個過程中，SSH信息流通過二次封裝加密后，從原來的22端口傳輸轉(zhuǎn)變成HTTPS流的443端口傳輸。其安全性和隱蔽性得到了大大地提升，也讓不法人員對于SSH信息的劫持失去興趣，從而提高SSH信息的隱蔽性和安全性。

3.2 實現(xiàn)方案

實驗環(huán)境說明：（1）首先建立兩端：服務(wù)器和客戶端。

服務(wù)端系統(tǒng)：debian7.4 客戶端系統(tǒng)：ubuntu14.04

Ip地址：10.104.118.166Ip地址：10.104.10.212

通過圖2的流程圖顯示，實現(xiàn)方案為典型的C/S方式，在服務(wù)器端按照Stunnel環(huán)境，創(chuàng)建SSL證書，生成一對密鑰，即公鑰和私鑰，公鑰附加在證書中，然后導(dǎo)出，然后封裝SSH協(xié)議，啟動Stunnel服務(wù)?？蛻舳说呐渲孟鄳?yīng)的簡單些，減少了證書和密鑰的生成環(huán)節(jié)，只需要把服務(wù)器端的證書通過winscp復(fù)制過來，再配置一下配置文件即完成環(huán)境的搭建。

（1）信息偽裝前：在客戶端使用ssh root@10.104.10.212連接服務(wù)器，使用tcpdump抓包，結(jié)果如圖3中的左圖所示，通過抓包工具可以清晰準(zhǔn)確的識別出SSH數(shù)據(jù)包。

（2）信息偽裝后：在客戶端使用Sshroot@localhost –v –p 443命令連接服務(wù)端，使用tcpdump抓包，結(jié)果如圖3中的右圖所示，由圖中抓包效果來看，可以直觀地看到是HTTPS信息流。其實這是SSH信息流被偽裝成了HTTPS信息流。

4總結(jié)

本文設(shè)計一種方法將SSH信息流偽裝成HTTPS信息流，通過對SSH信息封裝加密，偽裝成HTTPS信息在網(wǎng)絡(luò)上傳輸，使得SSH被截獲分析的概率大大降低，從而保護SSH信息流的安全。利用Stunnel平臺對SSH信息流進行偽裝實現(xiàn)驗證，通過測試可以很好地實現(xiàn)對SSH流的偽裝，把SSH信息流變成表面上的HTTPS信息流，讓對SSH信息流有不良用心者失去破解的愿望，從而大大提升了對SSH信息流的安全保護。

參考文獻：

[1] 張亞奇.可信SSH協(xié)議的設(shè)計與實現(xiàn)[D].北京：北京交通大學(xué)，2017.

[2] 范博，楊潤塏，黎琳.基于SSH的可信信道建立方法研究[J].信息網(wǎng)絡(luò)安全，2018（1）：45-51.

[3] 宋陽秋.SSH緩沖區(qū)溢出漏洞與安全防范探討[J].計算機科學(xué)，2008，35（4）：85-87，90.

[4] 王國新，平西建，張濤，等.空域LSB信息偽裝及其隱寫分析[J].計算機工程，2008，34（1）：173-174，189.

[5] 周琳娜，呂欣一.基于GAN圖像生成的信息隱藏技術(shù)綜述[J].信息安全研究，2019，5（9）：771-777.

[6] 劉本倉，范海峰.基于Stunnel的數(shù)據(jù)加密遂道研究[J].福建電腦，2006，22（10）：117，134.

【通聯(lián)編輯：光文玲】